pfsense Vlan und Sonos

[AgentHawk]

Moin

bin gerade dabei alle Sonos Player in mein IoT Vlan zu portieren und soweit läuft auch schon mal alles gut. Wenn ich vorher in dem IoT Netzwerk war und den Sonos Controller via iOS App verbunden habe, bleibt der auch verbunden, wenn ich in mein normales Netzwerk wechsel.

Dies habe ich via Avahi + IoT Rules auf LAN
IoT-->LAN TCP 3400-3401
IoT-->LAN TCP 3500
IoT-->LAN UDP 1900-1905

Was halt noch nicht klappt oder nur semi gut - wenn ich einen neuen Controller Client (Handy oder PC) hinzufügen will müsste dieser immer erst ins IoT Netzwerk - sich mit Sonos verbinden und dann wieder zurück. Für die Handy Clients wäre das sogar noch praktikabel. Auf dem PC sagt er aber leider nach jedem neustarten der App, das er keine Sonos Geräte gefunden hat. Dann muss man jedes mal auf Geräte suchen klicken - er findet keine und 2min später sind im Hintergrund aber alle da :/

Hat es von euch vllt wer hinbekommen - dies auch übergreifend freizugeben?

Grüße

 

[snaxilian]

Sonos arbeitet sehr viel mit Broadcasts und die werden nicht geroutet. Du müsstest also Broadcasts VLAN-übergreifend erlauben bzw. weiterleiten denn ein VLAN ist ja die Begrenzung für Broadcast-Domänen...

 

[AgentHawk]

Ist dafür nicht Avahi zuständig?

 

[Raijin]

Das ist leider die Problematik bei IoT. Es wird größtenteils mit adhoc Verbindungen gearbeitet, die via Broadcast initiiert werden.

Dadurch ist man ohne tiefgreifende Maßnahmen, die sowohl fortgeschrittene Hard- bzw. Software als auch ein Mindestmaß KnowHow erfordern, um zB ein Broadcast-Relay einzurichten, selten dazu in der Lage, IoT komplett in ein VLAN auszulagern.

Sobald ein Zugriff über (V)LAN-Grenzen hinweg erfolgen soll, wird es problematisch bzw. die Hersteller versuchen das mit einer Cloud zu umschiffen. Für geroutete Umgebungen sind die meisten IoT-Geräte leider nicht geeignet bzw. es ist für den Hersteller schlicht kein Anwendungsfall.

Ergänzung (28. Juli 2019)

Ist dafür nicht Avahi zuständig?

Ohne mich großartig mit Avahi beschäftigt zu haben, bediene ich mich mal der Formulierung von wikipedia:

Avahi ist eine freie Implementierung von Zeroconf, einer Technik zur Vernetzung von Geräten in einem lokalen Netzwerk, ohne dass diese manuell konfiguriert werden müssen.

VLANs trennen aber Netzwerke voneinander. Ungefähr so als wenn man zwei vollständig, physisch getrenne Netzwerke hätte, mit eigenen Kabel, eigenen Switches, eigenem DHCP, eigenem Gateway, eigener Firewall und eben auch eigener Broadcast-Domäne.

Broadcasts sind per Definition nur innerhalb dieser Domäne gültig und werden eben nicht geroutet, by design. Sonst würde sich ja der Laptop im Büro-VLAN im ungünstigsten Fall eine IP vom DHCP aus dem IoT-VLAN holen, wenn der DHCP-Broadcast über die Netzgrenzen geroutet werden würde.

Theoretisch und auch praktisch kann man Broadcasts jedoch aktiv weiterleiten. Router tun dies standardmäßig nicht, weil das Tür und Tor für DoS-Attacken öffnen würde. Mit einem Broadcast-Relay auf dem Router - sofern der sowas bietet - kann man jedoch ganz gezielt Broadcasts aufnehmen und ins andere Subnetz übersetzen.

Auch das ist aber noch keine Garantie, dass es funktioniert. Wenn ein Client via Broadcast im lokalen Netzwerk nach einem Server sucht, der Router diesen Broadcast ins Nachbar-Subnetz übersetzt und die Antwort durchreicht, kommt beim Client ja die Antwort auf den Broadcast an - mit einer Server-IP aus dem anderen Subnetz. Ob der Client nun sagt "Kein Thema, das (Standard-)Gateway wird schon wissen wo's lang geht" , dann ist alles in Butter. Prüft der Client jedoch die Server-IP gegen seine eigene und merkt, dass sie nicht in seinem Subnetz liegt, verweigert der Client möglicherweise eine Verbindung, weil er ja einen lokalen Server erwartet.

Mit etwas Geschick, KnowHow und einem offenen Router könnte man evtl sogar einen kleinen Service programmieren, der den Broadcast direkt und ohne Weiterleitung mit der Router-IP beantwortet und dann via DNAT/Portweiterleitung zum Server durchreicht. Das kommt aber auf die Arbeitsweise der Anwendung an, die die Broadcasts verwendet.

 

[Raijin]

Onkel goggel brachte mir übrigens u.a. Dieses Ergebnis : Relay UDP broadcasts between subnets in pfsense

Da ich selbst kein pfsense einsetze, kann ich nicht garantieren, dass es funktioniert, aber einen Versuch ist es wert.

*edit

Oder auch : UDP broadcast relay redux

Wie gesagt, ohne Gewähr und Nutzung auf eigene Gefahr

 

[Bob.Dig]

Da ich selbst kein pfsense einsetze,

Musst Du mal ändern. 😉

 

[Raijin]

Ich habe EdgeRouter von Ubiquiti im Einsatz (zZt ER-Lite + ER-X, bald evtl ER4) und werde mir demnächst auch einen MikroTik zulegen - primär aus Vergleichsgründen. Für pfsense oder sonstige Firewall-OS habe ich schlicht und ergreifend keine Verwendung - höchstens mal in einer VM zum Ausprobieren.